新型ランサムウェアの脅威

◆目次

暗号化速度が高速で非常に精巧な新型ランサムウェアが4月に発見されました。
史上最速と言われるこのランサムウェアですが、どのような危険性があるのかご紹介します。

高速だと何が恐ろしいのか

セキュリティ対策研究者はこの新型ランサムウェアを『Rorschach』(ロールシャッハ)と名付けており、すでに米国企業に対する攻撃で使用された前歴があります。

暗号化が特に高速なランサムウェアとしては「LockBit」が知られていますが、Rorschachの暗号化速度はLockBitの約2倍という調査結果があり、警戒が必要です。

暗号化が高速だと何が起こるのか。防御側がたとえ攻撃の初期に脅威を検知できたとしても「対応」が間に合わず、気づいた時には暗号化が完了してしまい手遅れになる可能性もあり対処が困難なのが特徴的。

複数のランサムウェアの利点の取り入れ

Rorschachの特徴として高度にカスタマイズ可能で、これまでのランサムウェアにはなかった機能を備えています。一部は自律的に動き、攻撃者のニーズに基づき動作を変えます。つまりRorschachに対抗しようとしても、まるでウイルスが変異して抗体が効かなくなり感染が継続してしまう恐れがあります。

調査によると残されたRorschachからの身代金要求文書に「Cisco Systems社」に対する攻撃に使われた「Yanluowang」ランサムウェアの身代金要求文書と類似した部分があったと報じられましたが、他の亜種では攻撃者である「DarkSide」グループが使う身代金要求文書と似ていたとの説もあり、分析をかわす意図も感じられます。

研究者は「心理検査であるロールシャッハテストの結果が人により異なるように、Rorschachは異なるランサムウェアファミリーから取り入れた技術的に異なる特徴を多数備え他のランサムウェアファミリーとは異なる特別なもの」と述べています。

攻撃手法は独特

研究者が見つけた攻撃の中身はPalo Alto Networks社の署名入りセキュリティ製品「Cortex XDR」を利用したDLLサイドローディングと呼ばれる手法が使われ、通常のランサムウェア攻撃ではあまり見られないもの。

同社によると「Cortex XDR Dump Service Tool」(cydump.exe)ツールをインストールディレクトリから削除すると、DLLサイドローディングにより信頼できないダイナミックリンクライブラリがロード、Rorschachはエンドポイント検出機能がないシステムからの検出を回避するためCortex XDR Dump Service Toolのコピーを使用して侵入を試みたとみられます。

Cortex XDRをインストール後、インストールパスから直接Cortex XDR Dump Service Toolを実行した場合はDLLのサイドローディングは機能しないため危険性は少なく、同社は「Cortex XDR Agent」新バージョンのリリースを行いソフトウェアの悪用を防ぎました。

今回攻撃を防ぐことはできたもののRorschachは変異させやすいよう悪意のある設計がされており、警戒を怠らない備えが重要です。